L’Autorità Garante per la Protezione dei Dati Personali (“Garante Privacy”) ha differito l’efficacia del documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” (“Provvedimento”) all’esito della consultazione pubblica avviata con il recente comunicato, diffuso sul sito del Garante Privacy in data 27 febbraio. L’intervento è stato invero auspicato dalla gran parte degli stakeholders e commentatori che non hanno esitato a sottolineare le criticità emergenti dall’obbligo di data retention dei metadati per il termine ristretto di sette giorni e la necessità di ottenere maggiori chiarimenti su come dar seguito, in pratica, a tale obbligo.
Nel presente contributo, si ripercorrono le principali novità introdotte con il Provvedimento citato, per delineare il quadro in materia di data retention nel contesto lavorativo, alla luce del Regolamento UE 2016/679 (cd. “GDPR”) e del D. Lgs. 196/2003 (cd. “Codice Privacy”), e comprendere quale sarà il futuro scenario a seguito del recente intervento correttore del Garante Privacy con l’avvio della consultazione pubblica.
L’orientamento del Garante Privacy in breve
Occorre preliminarmente ricordare come il Provvedimento è stato emanato dal Garante Privacy nell’esercizio del proprio potere di indirizzo in funzione interpretativa del GDPR, come previsto ai sensi dell’art. 154-bis del Codice Privacy, per rendere un chiarimento sulle misure organizzative e tecniche che i titolari del trattamento devono adottare al fine di garantire l’applicazione del principio di limitazione della conservazione al trattamento dei metadati relativi all’utilizzo dell’account di posta elettronica in uso ai dipendenti.
Fatte queste doverose premesse sulla natura non vincolante delle indicazioni ivi contenute, si possono di seguito riassumere i punti su cui il Garante Privacy ha fornito un’interpretazione innovativa del GDPR in combinazione con la L. n. 300/1970 (cd. “Statuto dei Lavoratori”):
- la finalità di sicurezza informatica, nonché di garanzia del corretto e regolare funzionamento e utilizzo del sistema di posta elettronica, può legittimare la conservazione dei metadati per un termine massimo di nove giorni (il limite è infatti di sette giorni, prolungabile di altri due in presenza di comprovate e documentate esigenze);
- una conservazione più estesa, ad avviso del Garante Privacy, potrebbe integrare un controllo a distanza dell’attività dei lavoratori e necessitare, pertanto, del previo espletamento delle garanzie previste dall’art. 4, comma 1, dello Statuto dei Lavoratori;
- poichè un termine più ampio di data retention dei metadati è ammesso solo una volta espletate le procedure di garanzia previste dalla disposizione appena citata (dunque, solo a seguito di accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna o con provvedimento autorizzativo dell'Ispettorato del lavoro – “INL”), nelle more di tale procedura i predetti metadati non potranno essere utilizzati.
I punti più oscuri del Provvedimento e le criticità emergenti
Il tema della conservazione dei metadati relativi all’uso della posta elettronica non è nuovo al Garante Privacy, che già si era espresso in diverse occasioni per stigmatizzare la conservazione prolungata per finalità generiche di sicurezza di tali informazioni nel contesto lavorativo (ritenendo non proporzionato, ad esempio, l’intervallo di 180 giorni fissato dalla Regione Lazio nel provvedimento sanzionatorio).
Tuttavia, sul piano del diritto, l’indicazione di un termine così breve e puntuale per la conservazione dei dati personali mal si concilia con il principio di responsabilizzazione (cd. “accountability”) del titolare del trattamento il quale, a seconda della natura dei dati trattati, delle modalità di trattamento e delle finalità perseguite, dovrebbe valutare autonomamente il periodo di data retention più consono, all’esito di un adeguato bilanciamento degli interessi in gioco.
Inoltre, su un piano più pratico: non solo un lasso di tempo così ristretto rischierebbe di rendere impossibile qualsiasi indagine ex post atta, ad esempio, a ricostruire le dinamiche di una violazione dei dati personali (“data breach”) propagatasi attraverso una breccia nel server di posta elettronica. Ma vi è anche da chiedersi come possa il titolare del trattamento selezionare un siffatto periodo di data retention, per impostazione predefinita, se la maggior parte dei fornitori di servizi e-mail cloud based non permette una scelta a riguardo (come, di fatto, avviene nei rapporti con i Big come Microsoft 365 e Google).
L’avvio della consultazione pubblica: che cosa attendersi?
Tutte queste considerazioni, ma ve ne potrebbero essere di ulteriori relative, ad esempio, alla qualificazione del sistema di posta elettronica come strumento ricadente nell’ambito di cui all’art. 4, comma 1 dello Statuto dei Lavoratori, hanno probabilmente portato il Garante Privacy a riconsiderare la propria posizione in vece di un approccio più cauto.
Con la consultazione pubblica si apre dunque un iter di 30 giorni in cui, soggetti pubblici e privati e esperti, potranno inviare le proprie richieste di chiarimenti e contributi in merito alle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella ipotizzata nel Provvedimento (scrivendo per posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it).
In attesa di conoscere i futuri sviluppi sul tema, allo stato attuale potrebbe prevedersi l’emanazione, da parte del Garante Privacy, di un documento integrativo che fornisca maggiori strumenti ai titolari del trattamento per valutare compiutamente, e in modo meno rigido, il termine di data retention più congruo e proporzionato rispetto alle finalità concretamente perseguite.
Avv. Lorenzo Baudino Bessone